Contenido de Detección: Ransomware Tycoon

Últimas Amenazas

junio 10, 2020

2 min de lectura

Contenido de Detección: Ransomware Tycoon

Eugene Tkachenko
Eugene Tkachenko Líder del Programa Comunitario linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

A pesar de que aparecen nuevas familias de ransomware con bastante frecuencia, la mayoría de ellas se centran exclusivamente en sistemas Windows. Mucho más interesante es Tycoon, un ransomware multiplataforma en Java que puede cifrar archivos tanto en sistemas Windows como Linux. Se ha observado a esta familia en estado salvaje al menos desde diciembre de 2019. Sus autores lo compilaron en un formato de archivo de imagen de Java poco conocido que permite al ransomware pasar desapercibido.

El ransomware se aloja en una versión troyanizada del entorno de ejecución de Java. Sus principales víctimas parecen ser en gran parte pequeñas y medianas organizaciones en las industrias de software y educación. Los adversarios utilizan señuelos personalizados en ataques altamente dirigidos. En al menos un caso, los adversarios penetraron la red de una organización a través de un servidor de salto RDP expuesto a Internet.

Usaron la técnica de inyección de Opciones de Ejecución de Archivos de Imagen (T1183) para lograr persistencia en los sistemas comprometidos. Luego, los atacantes ejecutaron una puerta trasera junto con la función del teclado en pantalla de Microsoft Windows, desactivaron la solución anti-malware y cambiaron las contraseñas de los servidores de Active Directory.

Los investigadores sugieren que el ransomware Tycoon puede ser utilizado por los mismos cibercriminales que distribuyen el ransomware Dharma / CrySIS y que los atacantes eligen qué herramienta usar dependiendo del entorno de la víctima. 

Nueva regla comunitaria Sigma por Ariel Millahuel ayuda a detectar el ransomware Tycoon cuando se prepara para comenzar a cifrar archivos en los sistemas infectados: https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Escalada de Privilegios, Persistencia, Evasión de Defensa, Ejecución

Técnicas: Interfaz de Línea de Comandos (T1059), Inyección de Opciones de Ejecución de Archivos de Imagen (T1183)

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko